bir sorum daha olacak clientten $HTTP_SESSION_VARS["randomuserid"]; ile aldığımız sesionid i db ye sorgulamadan mysql_real_escape_string fonksiyonundan geçirmelimiyiz ?
bu senin seçimine kalmış. kötü niyetli kullanıcıların erişimini engellemek için bir tekniktir aynı zamanda
ama userid sayisal bir değerse intval gibi fonksiyonda kullanabilirsin
bide $HTTP_SESSION_VARS yerine $_SESSION değişkenini kullanmanı tavsiye ederim